ランサムウェア犯罪集団「LockBit(ロックビット)」とは?

ランサムウェアグループ「LockBit」とは?サムネイル画像

この記事では、ランサムウェアグループ「LockBit(ロックビット)」について、2024年1月段階で判明している事をまとめていきます。
LockBitがどういった組織か、攻撃による被害事例、LockBit2.0、LockBit3.0の情報など、「LockBit」について知りたい方はぜひチェックしてみてください!

以下、CISAの「#StopRansomware: LockBit 3.0」「Understanding Ransomware Threat Actors: LockBit」からの情報をメインにまとめています。

LockBitとは?

「LockBitとは?」イメージ画像

 ランサムウェアグループ「LockBit」は2019年に出現し、それ以来重大な脅威をもたらしている脅威アクターです。LockBitは、「RaaS (Ransomware-as-a-Service)モデル」で広く知られており、「マルウェア感染による暗号化解除と引き換えに身代金を要求し、従わない場合は情報を流出する」という「二重脅迫」を専門としています。

 2022年、LockBit は世界中で最も多く導入されたランサムウェアの亜種であり、2023年も引き続き蔓延しています。Fortinet, log4j2, VMWare, Microsoft RDP脆弱性等、多様な脆弱性を悪用します。米国CISA(サイバーセキュリティ・社会基盤安全保障庁)とFBIが注意喚起のために行っている「#StopRansomware」でも、LockBitに関する情報が公開されています。

LockBitを使用するアフィリエイト

  • 金融サービス
  • 食品
  • 農業
  • 教育
  • エネルギー
  • 政府関連機関
  • 医療
  • 製造
  • 輸送

等を攻撃の対象としてきました。

 LockBit ランサムウェアオペレーションは、Ransomware-as-a-Service (RaaS) モデルとして機能しており

  • LockBit ランサムウェアツール
  • LockBit インフラストラクチャ

を使用して、実際のランサムウェア攻撃を実行するアフィリエイトが募集されています。

 アフィリエイトが多数存在するため、LockBit ランサムウェア攻撃では都度観察される戦術、技術、および手順 (TTP)が大きく異なっています。この点がランサムウェアからシステムを保護しようとしている組織にとっては非常に課題となっています。

ランサムウェアとは

ファイルを暗号化して、それらを元に戻すことを条件に身代金を要求するマルウェアのことです。
身代金を払ってもファイルが元に戻る保証がないにも関わらず、身代金を支払う人が存在するため、RaaSのようなサービスが成立しているとも言えます。

RaaSとは

ランサムウェアによるサイバー攻撃を提供するサービスのこと。ハッキング技術を持たない人でも、このサービスを利用することでランサムウェアによる攻撃を行うことが可能になっています。「アフィリエイト」というのは、このサービスを利用して、開発者からランサムウェアを購入した人の事。

「ランサムウェア開発」と「攻撃による拡散」の分業が起こっているんですね!
ランサムウェアによる攻撃が「ビジネス化」しているなんて思いませんでした‼

LockBit RaaSの進化

LockBit はRaaSサポート機能の継続的な開発を通じて成功を収めてきました。またLockBitを扱うアフィリエイトは、情報搾取とランサムウェアの展開時に使用されるTTPを常に更新しています。

以下がLockBit RaaSの進化の過程になります。

日付    イベント
2019年9月LockBit の前身である ABCD ランサムウェアの活動が初めて観察されました。
2020年1月 LockBit という名前のランサムウェアが、 ロシア語ベースのサイバー犯罪フォーラムで初めて確認されました。 
2021年6月LockBit 2.0が登場しました。これはLockBit Redとしても知られています。
2021年10月LockBit Linux-ESXi Locker ver1.0の登場。標的となるシステムとして Linux および VMware ESXiが追加されました。
2022年3月 LockBit 3.0(別名 LockBit Black)が登場。これはBlackMatter および Alphv (BlackCat) ランサムウェアと類似しています。
2022年9月 LockBit 3.0のビルダーが漏洩。これによりLockBit 以外のアフィリエイトもLockBit 3.0ランサムウェアが使用できるようになりました。
2023年1月 Contiランサムウェアのソースコードを組み込んだLockBit Greenが登場。
2023年4月 MacOSをターゲットとした LockBit ランサムウェアがVirusTotalで確認される。

使用するランサムウェアの情報

「使用されるランサムウェアの情報」イメージ画像

ここでは使用されるランサムウェアの情報をご紹介していきます。

LockBit 2.0

 ここではFBIの出している「Indicators of Compromise Associated with LockBit 2.0」を参考に、LockBit 2.0の情報をまとめています。

 LockBit 2.0を使用する攻撃者は、被害者のネットワークに侵入後Publicなツール(Mimikatzなど)を使用して権限を昇格します。次に攻撃者は、Publicなツール(rcloneなど)とカスタムツール「StealBit」の両方を使用してデータを盗み出し、その後 LockBit 2.0を使用して暗号化を行います。

 FBIの情報によると、Lockbit 2.0は最初の感染時に「Shift + F1 」を押すことでステータス / デバッグ ウィンドウが表示される様です。下記の様にC:ドライブのファイルが暗号化されている様子が表示されています。

感染時のステータスウィンドウのイメージ画像
(画像はFBI: Indicators of Compromise Associated with LockBit 2.0より引用)

 ファイルの暗号化が完了すると、壁紙が下図の様になります。

感染後に変更される壁紙のイメージ画像
(画像はFBI: Indicators of Compromise Associated with LockBit 2.0より引用)

LockBit 3.0(LockBit Black)

 ここではCISA/FBIが共同で出している「StopRansomware: LockBit 3.0」を参考に、LockBit 3.0の情報をまとめています。

 LockBit 3.0は「LockBit Black」としても知られており、LockBit 2.0よりもモジュール化されており、侵入検知に対する回避性が高くなっています。

 LockBit 3.0 は、コンパイル時に様々なオプションを使用してランサムウェアの動作を決定する事が可能になっています。被害者の環境での実行時にも引数によりさらに動作を変更できる様です。

例えばLockBit 3.0 はコンパイル時にオプションを指定することで、感染に対する「除外リスト」を参照させる事ができます(除外リストの言語は、ルーマニア語・アラビア語・タタール語など複数あります)。除外リストの言語が検出された場合、LockBit 3.0は感染する事なく実行を停止します。
 LockBit 3.0 は、コンパイル時に設定された資格情報や侵害されたローカルアカウントを使用して、被害者のネットワーク全体に拡散しようとします。

 ファイルが暗号化されると、LockBit 3.0はファイルのアイコンを以下の様なものに変更します。

暗号化されたファイルアイコンのイメージ画像
(画像はCISA+FBI : StopRansomware: LockBit 3.0より引用)

 ファイルの暗号化が完了すると、壁紙が下図の様になります。

暗号化後に変更される壁紙のイメージ画像
(画像はCISA+FBI : StopRansomware: LockBit 3.0より引用)

各国のLockBitに起因するランサムウェアインシデントの割合

「各国のLockBitに起因するランサムウェアインシデントの割合」イメージ画像
  • オーストラリア: 2022年4月1日から 2023年3月31日までに、オーストラリアで報告されたランサムウェア事件全体の18% を LockBit が占めました。 この数字には、LockBit 3.0 だけでなく、LockBit ランサムウェアのすべての亜種が含まれています。 
  • カナダ: 2022年、カナダで発生したランサムウェア インシデントの22% は LockBit が原因でした。
  • ニュージーランド: 2022年、CERT NZ は LockBit ランサムウェアに関する報告を 15 件受け取りました。これは、2022年のランサムウェア報告の23% に相当します。 
  • 米国: 2022年に、MS-ISAC に報告された州・地方等の政府や、裁判所 (SLTT) のランサムウェアインシデントの16% が LockBitによる攻撃であることが判明しました。 これには地方自治体、郡政府、学校、および緊急サービス (法執行機関など) に影響を与えたランサムウェア事件が含まれます。

LockBitランサムウェアによる被害は世界規模なんですね!

2020年以降の米国におけるLockBitランサムウェア攻撃の数

  • FBIによると約1,700件の攻撃が確認されているようです。

LockBitによる攻撃の事例

「LockBitによる攻撃の事例」イメージ画像
Diverse computer hacking shoot

2022年のLockBitによる攻撃例: 

  • Thales Group:Lockbitは、2022年1月にフランスの電子機器多国籍企業であるThales Groupの侵入を明らかにし、ランサムウェア需要の失敗に関する機密データの公開しました。 
  • フランスの法務省:LockBitは、省庁のファイルを暗号化し、ダークウェブ上で機密の省庁のデータを公開すると脅迫した後、2022年1月にフランスの法務省に身代金を要求しました。 
  • ブリヂストンアメリカの情報流出:タイヤメーカーのブリヂストンも、2022年2月にLockBitランサムウェアの感染を確認し、これ以上の被害拡大を避けるために一部ITシステムを遮断。これが原因で、販売や生産などの事業活動に被害を与えられることになりました。
  • 徳島県の鳴門山上病院:徳島県の鳴門山上病院(鳴門市)は2022年6月20日、ランサムウェア「Lockbit 2.0」を使った攻撃を受け、電子カルテや院内LANが使用不能になり業務に支障が出たと発表しました。
  • SickKids(カナダのオンタリオ州トロントのユニバーシティアベニューにある小児科病院)がLockBitによるランサムウェア攻撃を受けました。攻撃は幾つかの臨床システム・内部システム・電話・Webサイトに影響を与えただけで医療系に関しては問題はなかったとの事です。

2023年のLockBitによる攻撃例:

  • 英国の郵便配達サービスである「Royal Mail」がLockBitによるランサムウェア攻撃を受けたため、2023/01/12から国際配送サービスを停止しました。
  • オークランドでのデータ侵害オークランド市が2023年2月、LockBitによるランサムウェア攻撃に見舞われました。攻撃は消防・救急および緊急リソースには影響を与えませんでしたが、幾つかのシステムがオフラインになりました。
  • 名古屋港統一ターミナルシステム(NUTS / Nagoya United Terminal System):名古屋港のコンテナターミナルでLockBitランサムウェアグループによるサイバー攻撃が発生。コンテナの積み降ろしができなくなりました。
  • Kyocera AVX:2月16日から3月30日までの間にLockBitランサムウェアグループが同社のシステムにアクセスしたことを2023年10月10日に発見し公表しています。
  • ボーイング社:身代金支払いを拒否したところ、LockBit ランサムウェアによりボーイング社から 43 GB 以上のファイルが流出しました。

自分の知っているような企業をLockBitの被害に…。

与える損害も凄まじいものです!

フランスにおけるLockBit関連の運用活動 

「フランスにおけるLockBit関連の運用活動」イメージ画像 

 2020年7月に最初の事件が発生して以来、現在に至るまで、フランスのANSSI(Agence nationale de la sécurité des systèmes d’information:フランス国防安全保障事務局)は80件のLockBit ランサムウェアに関連するアラートを処理しました。これは、ANSSI がその期間に扱ったすべてのランサムウェア事件の11%を占めます。 

 これまでに確認されたインシデント 69 件が ANSSI によって処理されています。

下記の表は、ANSSI によって観察された LockBit アクティビティと、フランスのコンピュータ緊急対応チーム (CERT-FR) によって追跡された全体的なランサムウェア アクティビティを表しています。

インシデント数CERT-FR のランサムウェア関連アクティビティの割合 
2020年(7月~)42%
2021年2010%
2022年3027%
2023年1527%
合計6911%

 また下記は、ANSSI で観察された年別の LockBit 株 の推移になります。

ANSSI で観察された年別の LockBit 株 の推移のグラフ画像
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

LockBitによる被害の紹介

「LockBitによる被害の紹介」イメージ画像

 2020年1月5日に米国でLockBitの活動が観察されて以降、約9,100万ドルが身代金として支払われているそうです。

 2023年第1四半期までに、LockBit漏洩サイトで合計1,653人の被害者が確認されました。 LockBit 2.0 および LockBit 3.0により、リークサイトが変化しました。一部の情報源は LockBit のバージョンによってリークサイトを分けており、他の情報源は区別していません。

  2021年第2四半期末の LockBit 2.0登場は、2021年5月と6月に複数の RaaSオペレーション (DarkSide や Avaddon など)が停止されたため、サイバー犯罪市場に即座に影響を与えました。 

 LockBit はサイバー犯罪市場の需要を満たすためにHive RaaSなどの他の RaaS 事業とは競合するような形でLockBitアフィリエイトの流入につながりました。 下記の図は2020年第3四半期以降の LockBit 漏洩サイトでの世界中の被害者とされる数を示しています。

LockBit 漏洩サイトでの世界中の被害者とされる数のグラフ画像
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

9,100万ドルなんて想像もできない!

LockBitの手口・手法

「手口・手法」イメージ画像

 ここから紹介するのは、現時点で判明しているLockBitのTTP/IoCになります。

 ちなみにLockBit 3.0は「LockBit Black」としても知られており、BlackmatterおよびBlackcatランサムウェアと類似点があるものになっています。

 2020年1月以降、LockBit はアフィリエイトベースのランサムウェアの亜種として機能しています。 LockBit RaaSを使用しているアフィリエイトは、さまざまなTTPを使用して幅広いインフラを攻撃しているため、ネットワーク防御が困難になる可能性があります。

TTPとは

サイバー攻撃を行う者の戦術(Tactics)・技術(Techniques)・手順(Procedures)のことです。

IoCとは

IPアドレスマルウェアのファイル名などのサイバー攻撃された後に残る痕跡情報のことです。

MITRE ATT&CKを活用してLockBitを分析

 ここではMITRE ATT&CKと呼ばれるフレームワークを活用して、LockBitを分析していきます。

MITRE ATT&CKとは

MITRE ATT&CK(マイター・アタック)は、悪意ある攻撃者の戦術・技術・手順を分類するフレームワークのことです。

1. Initial Access(初期アクセス)

Technique Title        MITRE ATT&CK IDUse
Drive-by CompromiseT1189LockBitアフィリエイトは、通常の閲覧の過程でWebサイトにアクセスするユーザーを通じてシステムにアクセスします。
Exploit Public-Facing ApplicationT1190LockBitアフィリエイトは、インターネットに接続されたシステムの脆弱性 (Log4Shell等) を悪用して、被害者のシステムにアクセスする可能性があります。
External Remote ServicesT1133LockBitアフィリエイトはRDPを悪用して被害者のネットワークにアクセスします。
PhishingT1566LockBitアフィリエイトは、フィッシングやスピアフィッシングを使用して被害者のネットワークにアクセスします。
Valid AccountsT1078LockBitアフィリエイトは、初期アクセスを取得する手段として既存のアカウントの認証情報を取得して悪用します。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

2. Execution(実行)

Technique TitleMITRE ATT&CK IDUse
ExecutionTA0002LockBit3.0は、実行中にコマンドを起動します。
Command and Scripting Interpreter: Windows Command ShellT1059.003LockBit アフィリエイトはバッチ スクリプトを使用して悪意のあるコマンドを実行します。
Software Deployment ToolsT1072LockBitアフィリエイトは、Windows 用のコマンドラインパッケージマネージャーであるChocolateyを使用します。
System Services: Service ExecutionT1569.002LockBit3.0は、PsExec を使用してコマンドまたはペイロードを実行します。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

3. Persistence(永続化)

Technique TitleMITRE ATT&CK IDUse
Boot or Logon Autostart ExecutionT1547LockBitアフィリエイトにより、永続化のための自動ログオンが有効になります。
Valid AccountsT1078LockBitアフィリエイトは、標的のネットワーク上で永続性を維持する為に、侵害されたユーザーアカウントを使用する可能性があります。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

4. Privilege Escalation(権限昇格)

Technique TitleMITRE ATT&CK IDUse
Privilege EscalationTA0004LockBitアフィリエイトは、現在のアカウント権限が不十分な場合、必要な権限に昇格しようとします。
Abuse Elevation Control MechanismT1548LockBitアフィリエイトは、ユーザーアカウント制御 (UAC)をバイパスする技術としてGitHub上にあるUACMeのucmDccwCOMメソッドを使用します。
Boot or Logon Autostart ExecutionT1547LockBitアフィリエイトは、権限昇格のために自動ログオンを有効にします。
Domain Policy Modification: Group Policy ModificationT1484.001LockBitアフィリエイトは、水平移動(Lateral Movement)のためにグループポリシーを作成し、グループポリシーの更新を強制します。
Valid AccountsT1078LockBitアフィリエイトは、侵害されたユーザーアカウントを使用して標的のネットワーク上で権限を昇格させる可能性があります。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

5. Defense Evasion(防衛回避)

Technique TitleMITRE ATT&CK IDUse
Execution Guardrails: Environmental KeyingT1480.001LockBit3.0は正しいパスワードが入力された場合のみ、メインコンポーネントを復号化するか、データの復号化/圧縮解除を行います。
Impair Defenses: Disable or Modify ToolsT1562.001LockBit3.0アフィリエイトは、Backstab・Defender Control・GMER・PCHunter・PowerTool・Process Hacker・TDSSKiller等を使用してEDRのプロセスとサービスを無効にします。

LockBit3.0アフィリエイトは、Bat-Armorを使用してPowerShellの実行ポリシーを迂回します。

LockBitアフィリエイトは、アンチウイルスソフトを無効にして削除するバッチ「123.bat」を展開する場合があります。

Lockbit3.0は、マルウェアやツール・アクティビティの検出を回避するために、EDRやアンチウイルスソフトなどのセキュリティツールを変更したり無効にしたりする場合があります。
Indicator Removal: Clear Windows Event LogsT1070.001LockBit実行ファイルがWindowsのイベントログをクリアします。
Indicator Removal: File DeletionT1070.004LockBit3.0は自身をディスクから削除します。
Obfuscated Files or InformationT1027LockBit3.0は、ホストとボットの情報をC&C (C2)サーバーに送信します。
Obfuscated Files or Information: Software PackingT1027.002LockBitアフィリエイトは、ソフトウェアのパッケージ化や仮想マシンソフトウェア保護によりコードを隠す場合があります。Blister Loaderはそのような用途に使用されています。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

6. Credential Access(認証情報アクセス)

Technique TitleMITRE ATT&CK IDUse
Brute ForceT1110LockBitアフィリエイトは、初期アクセスとしてVPNやRDPへのブルートフォースを利用する場合があります。
Credentials from Password Stores: Credentials from Web BrowsersT1555.003LockBit3.0脅威アクターは、PasswordFoxを使用して Firefox ブラウザからパスワードを回復します。
OS Credential DumpingT1003LockBit3.0脅威アクターは、extpasswordlostmypasswordを使用して、Windowsからパスワードを回復します。
OS Credential Dumping: LSASS MemoryT1003.001LockBitアフィリエイトは、MicrosoftのProDumpを使用してlsass.exeの内容をダンプすることがあります。

LockBitアフィリエイトは Mimikatz を使用して資格情報をダンプします。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

7. Discovery(偵察)

Technique TitleMITRE ATT&CK IDUse
Network Service DiscoveryT1046LockBitアフィリエイトは、SoftPerfect Network Scanner・Advanced IP Scanner・Advanced Port Scannerを使用して標的ネットワークをスキャンします。
LockBitアフィリエイトは、SoftPerfect Network Scanner・Advanced Port Scanner・AdFind等を使用して、標的のネットワーク内に接続されているマシンを列挙できます。
System Information DiscoveryT1082LockBit アフィリエイトは、ホスト名・ホスト構成・ドメイン情報・ローカルドライブの構成・リモート共有・マウントされた外部ストレージ デバイス等のシステム情報を列挙します。
System Location Discovery: System Language DiscoveryT1614.001LockBit3.0は、除外リストとして定義されているリストsに載っている言語のマシンには感染しません。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

8. Lateral Movement(水平移動)

Technique TitleMITRE ATT&CK IDUse
Lateral MovementTA0008LockBitアフィリエイトはネットワークを水平移動し、ドメインコントローラーにアクセスします。
Remote Services: Remote Desktop ProtocolT1021.001LockBitアフィリエイトは、水平移動を容易にするために Splashtop (リモートデスクトップソフトウェア)を使用します。
Remote Services: Server Message Block (SMB)/Admin Windows SharesT1021.002LockBitアフィリエイトはCobalt Strikeを使用し、水平移動対象としてSMB共有を標的にすることがあります。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

9. Collection(収集)

Technique TitleMITRE ATT&CK IDUse
Archive Collected Data: Archive via UtilityT1560.001LockBitアフィリエイトは、収集したデータを持ち出す前に圧縮/暗号化で7-zipを使用する場合があります。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

10. Command and Control(C2C)

Technique TitleMITRE ATT&CK IDUse
Application Layer Protocol: File Transfer ProtocolsT1071.002LockBitアフィリエイトはC2にFileZillaを使用します。
Application Layer Protocol: Web ProtocolsT1071.001LockBitアフィリエイトは、HTTPリクエストを使用するリモート アクセスツールとしてThunderShellを使用しています。
Non-Application Layer ProtocolT1095LockBitアフィリエイトはLigoloを使用して、リバースの接続から SOCKS5/TCPトンネルを確立します。
Protocol TunnelingT1572LockBitアフィリエイトはPlinkを使用してWindows上でSSHによるアクションの自動化を行います。
Remote Access SoftwareT1219LockBit3.0アクターは、C2にAnyDesk・Atera RMM・ScreenConnect・TeamViewer等を使用します。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

11. Exfiltration(抽出)

Technique TitleMITRE ATT&CK IDUse
ExfiltrationTA0010LockBitアフィリエイトは、LockBit 2.0で最初に使用されたカスタム抽出ツールであるStealBitを使用して、標的ネットワークからデータを盗みます。
Exfiltration Over Web ServiceT1567LockBitアフィリエイトは、公開されているファイル共有サービスを使用して標的のデータを窃取します。
Exfiltration Over Web Service: Exfiltration to Cloud StorageT1567.002LockBitアフィリエイトは、(1) OSSのrcloneやFreeFileSyncを使用してデータを漏洩したり、(2) MEGA (データ漏洩用に公開されているファイル共有サービス) を使用します。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

12. Impact(影響)

Technique TitleMITRE ATT&CK IDUse
Data DestructionT1485LockBit3.0はログファイルを削除し、ごみ箱を空にします。
Data Encrypted for ImpactT1486LockBit 3.0は、標的システム上のデータを暗号化して、システムおよびネットワーク リソースの可用性を遮断します。

LockBitアフィリエイトはVMwareインスタンスだけでなく、Windows や Linux デバイスも暗号化できます。
Defacement: Internal DefacementT1491.001LockBit3.0は、ホストOSの壁紙とアイコンをそれぞれLockBit3.0 の壁紙とアイコンに変更します。
Inhibit System RecoveryT1490LockBit3.0は、ディスク上のボリュームシャドウ コピーを削除します。
Service Stop1489LockBit3.0はプロセスとサービスを終了します。
CISA: 「Understanding Ransomware Threat Actors: LockBit」より引用

主に使用する脆弱性等

参考情報

この記事があなたのお役に立てればうれしく思います。

最後までお読みいただき、ありがとうございます。

コメント